call authc_config.bat -u administrator -p <nmc_admin_password> -e add-config ^
-D "config-tenant-id=<tenant_id>" ^
-D "config-active-directory=y" ^
-D "config-name=<authority_name>" ^
-D "config-domain=<domain_name>" ^
-D "config-server-address=<protocol>://<hostname_or_ip_address>:<port>/<base_dn>" ^
-D "config-user-dn=<user_dn>" ^
-D "config-user-dn-password=<user_password>" ^
-D "config-user-search-path=<user_search_path>" ^
-D "config-user-id-attr=sAMAccountName" ^
-D "config-user-object-class=<user_object_class>" ^
-D "config-group-search-path=<group_search_path>" ^
-D "config-group-name-attr=cn" ^
-D "config-group-object-class=group" ^
-D "config-group-member-attr=member" ^
-D "config-user-search-filter=" ^
-D "config-group-search-filter=" ^
-D "config-search-subtree=n" ^
-D "config-user-group-attr=memberOf" ^
-D "config-object-class=objectClass"
config-tenant-id | テナントは、複数の認証方法を使用できる環境や、複数の認証機関を構成する必要がある場合に使用できます。AD/LDAPサーバーが1つだけ使用されている場合は、テナントを作成する必要はありません。デフォルトのテナントである config-tenant-id=1 を使用できます。テナントを使用すると、ログイン方法が変更されることに注意することが重要です。デフォルト テナントを使用する場合は、「domain\user」を使用してNMCにログインできます。デフォルト テナント以外のテナントを使用する場合は、NMCにログインするときに「tenant-name\domain\user」を指定する必要があります。 |
config-active-directory | Microsoft Active Directory(AD)サーバーを使用している場合: y LDAPサーバーを使用している場合(例: OpenLDAP: N メモ:2つの異なるスクリプト テンプレート「authc-create-ad-config」 と「authc-create-ldap-config」があります。使用中の認証プラットフォームに正しいテンプレートを使用していることを確認します。 |
config-name | この名前は、NetWorkerに追加される認証構成の識別子のみです。 |
config-domain | これは、NetWorkerへのログインに使用されるドメイン名です。たとえば、「emclab.local」は「emclab」に設定できます。これは、AD/LDAPと統合されたワークステーションおよびシステムへのログイン方法に合わせて設定できます。 |
config-server-address | <protocol>://<hostname_or_ip_address>:<port>/<base_dn> Protocol:
ホスト名/IPアドレス:
|
config-user-dn | LDAPまたはADディレクトリへの完全な読み取りアクセス権を持つユーザー アカウントの完全なDN(識別名)を指定します。例: CN=Administrator,CN=Users,DC=my,DC=domain,DC=com |
config-user-dn-password | config-user-dnで指定されたアカウントのパスワードを指定します。 |
config-user-search-path | このフィールドは空白のままにしておくことができます。この場合、authcはドメイン全体をクエリーできます。これらのユーザー/グループがNMCにログインしてNetWorkerサーバーを管理するには、引き続きNMC/NetWorkerサーバー へのアクセス権を付与する必要があります。config-server-address でベースDNが指定されている場合は、ドメインへの 相対パス(ベースDNを除く)を指定します。 |
config-user-id-attr | LDAPまたはAD階層内のユーザー オブジェクトに関連づけられているユーザーID。
|
config-user-object-class | LDAPまたはAD階層内のユーザーを識別するオブジェクト クラス。 たとえば、inetOrgPerson(LDAP)またはユーザー(AD) |
config-group-search-path | config-user-search-pathと同様に、このフィールドは空白のままにすることができます。この場合、authcはフル ドメインのクエリーを実行できます。config-server-address でベースDNが指定されている場合は、ドメインへの 相対パス(ベースDNを除く)を指定します。 |
config-group-name-attr | グループ名を識別する属性。例: cn |
config-group-object-class | LDAPまたはAD階層内のグループを識別するオブジェクト クラス。
|
config-group-member-attr | グループ内のユーザーのグループ メンバーシップ。
|
config-user-search-filter | (オプション)NetWorker認証サービスがLDAPまたはAD階層でユーザー検索を実行するために使用できるフィルター。RFC 2254 はフィルター形式を定義します。 |
config-group-search-filter | (オプション)LdapまたはAD階層でグループ検索を実行するためにNetWorker認証サービスが使用できるフィルター。RFC 2254 はフィルター形式を定義します。 |
config-search-subtree | (オプション)外部機関がサブツリー検索を実行するかどうかを指定する yes または no 値。 デフォルト値: no |
config-user-group-attr | (オプション)このオプションは、ユーザー オブジェクトのプロパティ内のユーザーのグループ メンバーシップを識別する構成をサポートします。たとえば、ADの場合は、 memberOf 属性を指定します。 |
config-object-class | (オプション)外部認証機関のオブジェクト クラス。RFC 4512 はオブジェクト クラスを定義します。デフォルト値: objectclass。 |
call "C:\Program Files\EMC NetWorker\nsr\authc-server\bin\authc_config.bat" -u administrator -p Pa$$w0rd04 -e add-config ^
-D "config-tenant-id=1" ^
-D "config-active-directory=y" ^
-D "config-name=ad" ^
-D "config-domain=emclab" ^
-D "config-server-address=ldap://winsrvr2k12.emclab.local:389/DC=emclab,DC=local" ^
-D "config-user-dn=CN=Administrator,CN=Users,DC=emclab,DC=local" ^
-D "config-user-dn-password=XXXXXXXX" ^
-D "config-user-search-path=CN=Users" ^
-D "config-user-id-attr=sAMAccountName" ^
-D "config-user-object-class=user" ^
-D "config-group-search-path=CN=NetWorker_Admins,CN=Users" ^
-D "config-group-name-attr=cn" ^
-D "config-group-object-class=group" ^
-D "config-group-member-attr=member" ^
-D "config-user-search-filter=" ^
-D "config-group-search-filter=" ^
-D "config-search-subtree=y" ^
-D "config-user-group-attr=memberOf" ^
-D "config-object-class=objectClass"
C:\Program Files\EMC NetWorker\nsr\authc-server\scripts>authc-create-ad-config.bat
Configuration ad is created successfully.
nsrlogin -t default -d emclab -u bkupadmin
130136:nsrlogin: Please enter password:
Authentication succeeded
authc_mgmt -u administrator -p nmc_admin_password -e query-ldap-groups-for-user -D query-tenant=tenant-name -D query-domain=domain_name -D user-name=ad_user_name
authc_mgmt -u Administrator -p Pa$$w0rd04 -e query-ldap-groups-for-user -D query-tenant=default -D query-domain=emclab -D user-name=bkupadmin
The query returns 1 records.
Group Name Full Dn Name
NetWorker_Admins cn=NetWorker_Admins,cn=Users,dc=emclab,dc=local